virus-informer.de: Kasperksy: Wurm 'Bizex' attackiert ICQ-Anwender

24.02.04 19:43 Age: 7 yrs

Kasperksy: Wurm 'Bizex' attackiert ICQ-Anwender

By: admin

Kaspersky Labs warnt

Anwender des Internet-Pagers ICQ vor einem neuen Netzwurm: 'Bizex'.

Daten über Infektionen mit dem Wurm gibt es bereits aus allen

Ländern der Welt. Nach voläufigen Schätzungen

beträgt die Infektionsrate bereits ca. 50 000...

Die Infektion geschieht beim Öffnen der Hacker WebSite, auf die

über ICQ hingewiesen wird.

Zur Maskierung wird beim Betrachten der WebSite dem Anwender der Inhalt

der WebSite 'Joe Cartoon' (Autor der bekannten amerikanischen

Zeichentrickfilme) vorgeführt. Unterdessen attackiert die Malware

den Computer auf 2 Arten. Zunächst benutzt sie eine Schwachstelle

im Browser Internet Explorer

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-047.asp).

Zweitens benutzt sie eine Schwachstelle im Betriebssystem Windows

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-011.asp).

Im Ergebnis wird für den Anwender unbemerkt eine spezielle Datei

auf den Computer geladen, die von einer entfernten Netz-Schnittstelle

die Trägerdatei "Bizex" (APTGETUPD.EXE) herunterlädt und sie

ausführt.

Danach beginnt 'Bizex' mit der Prozedur zur Infektion des Computers.

Hierzu erstellt er das Verzeichnis SYSMON im System Katalog von Windows

und kopiert sich unter dem Namen SYSMON.EXE in ihn hinein und

registriert die Datei im 'autoexe' System-Verzeichnis. Somit wird der

Wurm bei jedem Starten des Betriebssystems in den Speicher des Computers

geladen.

Nach diesem Prozess beginnt 'Bizex' seine weitere Verbreitung über

ICQ. Der Wurm zieht aus sich einige System-Bibliotheken zur Funktion mit

dem Internet-Pager heraus und installiert sie im System-Verzeichnis von

Windows. Hierdurch erhält 'Bizex' Zugang zur Liste von

ICQ-Kontaktadressen, stellt den aktiven ICQ ab und erstellt eine

alternative Verbindung mit dem Server unter der Adresse des infizierten

Computers, um an alle gefundenen Adressen Links auf die Hacker WebSite

zu versenden. Dabei ist zu beachten, dass der Wurm nur originäre

ICQ-Clients attackiert (ausgenommen Web ICQ), wohingegen alternative

Pager wie Miranda oder Trillian gegen den Wurm immun sind.

'Bizex' enthält darüberhinaus eine reihe gefährlicher

Nebeneffekte, die zum Entweichen vertraulicher Information führen

können. Dabei scannt der Wurm den infizierten Computer, sammelt

Daten über installierte Zahlungssysteme und versendet sie unbemerkt

an einen anonymen Server. Zu den betroffenen Systemen gehören:

Wells Fargo American Express UK Barclaycard Credit Lyonnais

Bred.fr Lloyds E-gold

Der Wurm fängt auch Informationen ab, die vom Computer über

HTTPS (geschütztes Protokoll, das u.a. für Finanztransaktionen

verwendet wird) übertragen werden sowie Codes zum Zugang zu

verschiedenen eMail-Systemen (z.B. Yahoo Mail). Hier gesammelte Daten

werden ebenfalls an einen anonymen Server verschickt.

'In diesem Falle haben wir es mit einer originellen

Penetrations-Methode, einer Attacke auf ein ansonsten stabiles System

und den Einsatz einer Reihe von Spy-Funktionen gleichzeitig zu tun. Dies

hat dem Wurm-Schreiber gewiss Nutzen eingebracht, obwohl die

SchadensSite bereits 4 Stunden nach ihrem Erscheinen geschlossen wurde',

- so Eugene Kaspersky, Leiter der Anti-Virenforschung bei Kaspersky

Labs. 'Gleichzeit warnen wir Internet-Surfer vor einem Öffnen

verdächtiger Sites und empfehlen ein sofortiges Herunterladen der

Upadates für Internet Explorer und Windows.'

Quelle: Kaspersky Newsletter

<- Back to: virus-informer.de


	24.02.04 19:43 Age: 7 yrs Kasperksy: Wurm 'Bizex' attackiert ICQ-Anwender By: admin Kaspersky Labs warnt Anwender des Internet-Pagers ICQ vor einem neuen Netzwurm: 'Bizex'. Daten über Infektionen mit dem Wurm gibt es bereits aus allen Ländern der Welt. Nach voläufigen Schätzungen beträgt die Infektionsrate bereits ca. 50 000... Die Infektion geschieht beim Öffnen der Hacker WebSite, auf die über ICQ hingewiesen wird. Zur Maskierung wird beim Betrachten der WebSite dem Anwender der Inhalt der WebSite 'Joe Cartoon' (Autor der bekannten amerikanischen Zeichentrickfilme) vorgeführt. Unterdessen attackiert die Malware den Computer auf 2 Arten. Zunächst benutzt sie eine Schwachstelle im Browser Internet Explorer (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-047.asp). Zweitens benutzt sie eine Schwachstelle im Betriebssystem Windows (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-011.asp). Im Ergebnis wird für den Anwender unbemerkt eine spezielle Datei auf den Computer geladen, die von einer entfernten Netz-Schnittstelle die Trägerdatei "Bizex" (APTGETUPD.EXE) herunterlädt und sie ausführt. Danach beginnt 'Bizex' mit der Prozedur zur Infektion des Computers. Hierzu erstellt er das Verzeichnis SYSMON im System Katalog von Windows und kopiert sich unter dem Namen SYSMON.EXE in ihn hinein und registriert die Datei im 'autoexe' System-Verzeichnis. Somit wird der Wurm bei jedem Starten des Betriebssystems in den Speicher des Computers geladen. Nach diesem Prozess beginnt 'Bizex' seine weitere Verbreitung über ICQ. Der Wurm zieht aus sich einige System-Bibliotheken zur Funktion mit dem Internet-Pager heraus und installiert sie im System-Verzeichnis von Windows. Hierdurch erhält 'Bizex' Zugang zur Liste von ICQ-Kontaktadressen, stellt den aktiven ICQ ab und erstellt eine alternative Verbindung mit dem Server unter der Adresse des infizierten Computers, um an alle gefundenen Adressen Links auf die Hacker WebSite zu versenden. Dabei ist zu beachten, dass der Wurm nur originäre ICQ-Clients attackiert (ausgenommen Web ICQ), wohingegen alternative Pager wie Miranda oder Trillian gegen den Wurm immun sind. 'Bizex' enthält darüberhinaus eine reihe gefährlicher Nebeneffekte, die zum Entweichen vertraulicher Information führen können. Dabei scannt der Wurm den infizierten Computer, sammelt Daten über installierte Zahlungssysteme und versendet sie unbemerkt an einen anonymen Server. Zu den betroffenen Systemen gehören: Wells Fargo American Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold Der Wurm fängt auch Informationen ab, die vom Computer über HTTPS (geschütztes Protokoll, das u.a. für Finanztransaktionen verwendet wird) übertragen werden sowie Codes zum Zugang zu verschiedenen eMail-Systemen (z.B. Yahoo Mail). Hier gesammelte Daten werden ebenfalls an einen anonymen Server verschickt. 'In diesem Falle haben wir es mit einer originellen Penetrations-Methode, einer Attacke auf ein ansonsten stabiles System und den Einsatz einer Reihe von Spy-Funktionen gleichzeitig zu tun. Dies hat dem Wurm-Schreiber gewiss Nutzen eingebracht, obwohl die SchadensSite bereits 4 Stunden nach ihrem Erscheinen geschlossen wurde', - so Eugene Kaspersky, Leiter der Anti-Virenforschung bei Kaspersky Labs. 'Gleichzeit warnen wir Internet-Surfer vor einem Öffnen verdächtiger Sites und empfehlen ein sofortiges Herunterladen der Upadates für Internet Explorer und Windows.' Quelle: Kaspersky Newsletter <- Back to: virus-informer.de
home Impressum